Título
Industrial IT security management supported by an asset management database
Autor
Narciso, André Filipe Tarrucha
Resumo
pt
Gerir a segurança dos sistemas e activos de Tecnologias da Informação (TI)
ao longo do seu ciclo de vida é uma tarefa muito complexa e importante para as
organizações, onde o número de ameaças externas e de vulnerabilidades nos sistemas industriais continua a aumentar. Gerir a complexidade e ter uma visão geral
clara de todos os ativos dentro das infra-estruturas industriais são desafios chave.
Além disso, não há uma estrutura de dados bem definida para organizar todos
os dados sobre ativos de TI de diferentes fontes industriais. Este estudo descreve
uma solução para auxiliar a gestão da segurança de ativos de TI industriais, desenvolvida em colaboração com o departamento de Security Life-Cycle da Siemens
CT. A ferramenta desenvolvida tem como objetivo integrar dados de ativos presentes na ferramenta de engenharia Component Object Server (COMOS) e no
software de segurança Siemens Extensible Security Testing Appliance (SiESTA),
utilizando uma base de dados Neo4j para armazenar e visualizar as relações entre
os ativos, bem como os seus atributos relevantes para segurança. Foi realizada
uma comparação entre cinco diferentes modelos de bases de dados com o objetivo
de avaliar qual o mais adequado para os requisitos de base de dados definidos. Foi
definido um modelo de dados, baseado na National Institute Standards Technology (NIST) Asset Identification Specification 1.1. Os objetos e relações do modelo
de dados foram determinados para dar suporte aos casos de uso: Descoberta de
Hosts , Análise de Portas e Gestão de Vulnerabilidades. Ao usar como input um
ficheiro com a configuração de redes exportado do software COMOS, a ferramenta
de suporte à base de dados permite importar e exportar dados da base de dados,
e automatizar a criação de ficheiros para o SiESTA realizar testes de segurança
em redes industriais. A solução proposta foi validada através de um questionário
conduzido aos consultores de Segurança de TI, obtendo opiniões positivas sobre a
utilidade da ferramenta na gestão de ativos em ambientes industriais.
en
Managing the security of Information Technology (IT) systems and assets throughout their lifecycle is a very complex and important task for organisations, where
the number of external threats and vulnerabilities in industrial systems continues
to grow. Managing the complexity and having a clear system overview of all assets
within industrial infrastructures are key challenges. Beyond that, there is no welldefined data structure to organize all data about IT assets from different industrial
sources. This study describes a solution to support security management of industrial IT assets, developed in collaboration with the Siemens Corporate Technology
Security Life-Cycle department. The database support tool aims to integrate asset data present on Component Object Server (COMOS) engineering tool and the
Siemens Extensible Security Testing Appliance (SiESTA) security scanner software, using a Neo4j graph database to store and visualize the relationships between the assets, as well as their relevant security attributes. It was performed
a comparison between five different database models, to assess which database
model was more appropriate for the defined database requirements. It was defined
a data model, based on National Institute Standards Technology (NIST) Asset
Identification Specification 1.1. The objects and relationships of the data model,
were determined to support the following use cases: Host Discovery, Port Scanning
and Vulnerability Management. Using as input a network blueprint exported from
COMOS software, the database support tool enabled to import and export data
from the database, and to automate the creation of input files to enable SiESTA
to perform scan tests on industrial networks. The proposed solution was validated
through a questionnaire conducted to IT Security consultants, obtaining positive
feedback on the tool usefulness in managing assets on industrial environments.